健康之路手机APP任意用户登录+接口越权导致用户敏感信息泄露(个人数据上亿条)(姓名/身份证/家庭住址/就医记录等)

漏洞概要

缺陷编号:WooYun-2015-0126969

漏洞标题:健康之路手机APP任意用户登录+接口越权导致用户敏感信息泄露(个人数据上亿条)(姓名/身份证/家庭住址/就医记录等)

相关厂商:福建健康之路信息技术有限公司

漏洞作者:h0FF

提交时间:2015-07-15 22:08

公开时间:2015-09-03 22:10

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-15: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-09-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

用户量来源于官方统计:
医护网(www.yihu.com)是健康之路公司旗下面向社会化大众提供专业健康服务的网络平台。
健康之路服务范围目前已覆盖大陆各省市和香港等地,在全国各省直辖市均设立有分公司或办事处机构,已合作近万家知名医院、近1000家深度合作的医院、覆盖超过80%的三甲医院、近百万名医生,每年为全国超过1500万家庭用户、近1亿个人用户提供寻医问诊、预约挂号、导医导诊、就医指导、双向转诊及各类患者增值等服务。

详细说明:

####测试的是Android端APP,从官网最新下载的版本是 3.25 ######## 任意用户登录 ####(1)本地配置文件com.yihu.medical_preferences.xml中记录了用户的登录帐号(手机号)、用户id、明文密码等信息

(2)修改其中的登录帐号、用户id,即可成功登录其他用户,不需要密码

(3)另外还有个接口,存在信息泄露的问题,可以获取到注册用户的手机号,也就是登录帐号

圈子里可以发帖,显示的用户手机号是部分屏蔽的,如图

但是接口获取到的数据是完整的,只是界面显示做了屏蔽,抓包看就可以,如图

(4)利用获取到的手机号,就可以实现登录对应的帐号,获取其中的敏感信息,以下截取一部分作为证明

意外发现女神预约了妇产科,她是怀孕了吗,这心里哇凉哇凉的。。。。

#### 还有个接口,可以越权直接获取用户敏感信息,实现批量获取,如图 ####

漏洞证明:

见详细说明

修复方案:

登录机制、接口鉴权、本地敏感信息明文保存。。。好好修复一下吧IOS版没有测试,估计存在同样的问题,一起修了吧

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-0322:10

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 上官元恒 白帽子 | Rank:0 漏洞数:0)

    数据上亿条,忽略了。。。

  2. 2010-01-01 00:00 0x 80 白帽子 | Rank:967 漏洞数:111)

    厂商可能睡觉去了